The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FC8+VMWare+iptables, Как надавать по рукам виртуальной машин..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на рабочей станции (Public)
Изначальное сообщение [ Отслеживать ]

"FC8+VMWare+iptables, Как надавать по рукам виртуальной машин..."  
Сообщение от Prevedliviy Medved email(ok) on 04-Фев-08, 19:04 
Проблема у меня такая:
Есть FC8(2.6.23.14-107.fc8 x86_64 GNU/Linux), под ней живет VMWare 6.0.2 build-59824, а под ней в свою очередь живет OffTopicXP. У меня стоит NAT из VM на /dev/vmnet3 (Все средствами самой VMWare). Все работает! Хоть и не смог я прикрутить VMWare бриджом к WiFi, обошелся натом. Дык вот такой вопрос к тебе All. Как мне в iptables'е запретить ходить VM в инет, и разрешить только на один адрес?
----
[root@xxxxx]# service vmware status
At least one instance of VMware Workstation is still running.

Bridged networking on /dev/vmnet0 is running
Host network detection is not running
Host-only networking on /dev/vmnet1 is running
DHCP server on /dev/vmnet1 is running
Bridged networking on /dev/vmnet2 is running
Host-only networking on /dev/vmnet3 is running
DHCP server on /dev/vmnet3 is running
NAT networking on /dev/vmnet3 is running
Module vmmon loaded
Module vmnet loaded
----
eth0      Link encap:Ethernet  HWaddr 00:18:8B:B3:E2:CD
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:17

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:7170 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7170 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:5063708 (4.8 MiB)  TX bytes:5063708 (4.8 MiB)

vmnet1    Link encap:Ethernet  HWaddr 00:50:56:C0:00:01
          inet addr:192.168.245.1  Bcast:192.168.245.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

vmnet3    Link encap:Ethernet  HWaddr 00:50:56:C0:00:03
          inet addr:192.168.244.1  Bcast:192.168.244.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:21 errors:0 dropped:0 overruns:0 frame:0
          TX packets:40 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000

wlan0     Link encap:Ethernet  HWaddr 00:19:D2:02:53:F0
          inet addr:192.168.1.36  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::219:d2ff:fe02:53f0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1540 errors:0 dropped:0 overruns:0 frame:0
          TX packets:740 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:439888 (429.5 KiB)  TX bytes:155644 (151.9 KiB)
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
----
# Generated by iptables-save v1.3.8 on Sat Feb  2 00:35:40 2008
*filter
:INPUT ACCEPT [768:389976]
:FORWARD DROP [0:0] # Хоть и стоит, а все равно ходит VM куда угодно
:OUTPUT ACCEPT [7428:3598391]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -i vmnet3 -j DROP # Хоть и стоит, а все равно ходит VM куда угодно
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -i vmnet3 -j DROP # Хоть и стоит, а все равно ходит VM куда угодно
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
COMMIT
# Completed on Sat Feb  2 00:35:40 2008
----

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FC8+VMWare+iptables, Как надавать по рукам виртуальной машин..."  
Сообщение от Felix email(??) on 05-Фев-08, 17:59 
1. Попробуй указать адрес, а не виртуальный интерфейс.
2. Попробуй почитать доки по iptables.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "FC8+VMWare+iptables, Как надавать по рукам виртуальной машин..."  
Сообщение от Prevedliviy Medved email(ok) on 05-Фев-08, 22:17 
>1. Попробуй указать адрес, а не виртуальный интерфейс.

Пробовал не помогает...

>2. Попробуй почитать доки по iptables.

Мне кажется, что когда VMWare делает NAT, просто до iptables'а не доходят пакеты.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "FC8+VMWare+iptables, Как надавать по рукам виртуальной машин..."  
Сообщение от angra (ok) on 07-Фев-08, 00:29 
>Мне кажется, что когда VMWare делает NAT, просто до iptables'а не доходят пакеты.

Скорее всего это можно сделать средствами vmware, но у меня ее нет, так что не подскажу. Однако после vmware nat пакету таки надо выйти на внешний интерфейс, а значит в зависимости от реализации этого в vmware либо через FORWARD либо через OUTPUT он все равно пройдет. Добавьте логирование в эти цепочки и посмотрите.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру